您所在的位置:e-works首页 > 基础信息化 >

工业以太网的安全问题之防护网关和入侵检测系统

发表时间:2011/2/18 李萍 来源:万方数据
本文就工业以太网的安全问题展开讨论,通过对影响计算机网络安全的因素和入侵手段的分析,选择合适的确保工业以太网安全的防护措施,即防护网关和入侵检测技术。

    工业以太网是指将不同地理位置的功能相对独立的计算机系统和现场设备互相连接起来,利用功能比较完善的网络软件来实现网络资源共享和信息交换的控制网络。出于各种目的的网络入侵和攻击越来越频繁,导致网络信息的安全包括一些重要数据的安全,逐渐成为政府、企业和个人的关注的焦点,与自身利益有着休戚相关的关系。下面将就工业以太网的安全防护问题进行分析和讨论。

一、影响网络安全的因素和入侵手段

    1.影响网络安全的几个主要因素

    日益严重的网络信息安全问题,不仅使利用工业以太网络进行生产的企业和单位蒙受了很大的经济上的损失,在一些国有企业中的工业以太网信息上包含有涉及国家级别的重要信息,所以有时还严重威胁到了国家的安全和主权问题。为了避免网络信息安全出现问题,必须要清楚引发这一安全问题的诸多因素,影响网络安全的因素很多,包括很多自然的因素,也包括很多人为的因素。其中尤以人为的因素危害比较大。可以综合起来归结一下,主要有以下影响方面构成了对工业以太网络的威胁。

    1.1 人为的操作失误

    操作人员的一些无意的行为,比如:口令的丢失、操作不合法、不合理的资源访问控制、管理员不当的安全配置以及由于疏忽而导致不应进入网络的人进入了网络窃取信息等都造成了对网络系统的极大破坏;

    1.2 电脑病毒的感染

    病毒可以利用网络进行迅速的传播,它可以比较容易的通过代理服务器就能以软件的形式进行下载,还可以以邮件接收的形式等进入工业网络,然后对网络进行非法攻击,进而造成了比较严重的后果和损失;

    1.3 来自工业以太网络内部的网络攻击

    来自以太网络内部的攻击是指在局域网的内部进行的,一些非法用户能够冒充合法用户,并使用合法用户的口令以合法的用户身份登录工业网站,进而窃取商业的机密信息威者篡改其中重要的信息内容,破坏了应用系统的正常运行,另外,系统中出现的漏洞,一些机密资料信息的存储和传输都是引起网络安全问题的一个重要内部因素。

    2.工业网络受到外部入侵攻击的一些形式和手段

    随着计算机网络传输技术的飞速发展,黑客对计算机网络传输协议的攻击和入侵手段与方法也不断变换着形式,可以说只要有传输网络的存在,对计算机网络传输的攻击就会以问断的形式发生。下面是黑客攻击计算机传输网络的几种常见方法;

    (1)口令形式的入侵,是指利用某种软件工具来打开已经被加密过的口令文件;

    (2)利用系统的漏洞实施攻击,比如,安全漏洞在很多的操作系统等软件系统中和硬件系统中普遍存在着,黑客就能够利用这些漏洞入侵并攻击计算机网络系统;

    (3)通过拒绝服务的手段实施网络攻击,即是指利用用户服务计算机的崩溃状态对服务器进行攻击,阻止服务器继续提供相应的服务。一般来讲,防止网络出现安全问题有几种主要的关键技术,比如,防火墙技术、入侵检测技术、防护网关和加密技术等。下面就防护网关和入侵检测两项技术在工业以太网络安全中的应用进行介绍。

二、网络安全防护的措施之防护网关技术

    (1)pSafetyLink网关的整体架构介绍

    在pSafetyLink网关内部的两端有两个独立的主机系统构成,两个主机系统都具有独立的运算和存储单元来实施计算和存储功能,并且能各自独立的运行各自的操作系统与应用系统。其中的一端主机系统是控制端系统、任务是接入到SCADA控制网络,另外一端主机系统是信息端系统,任务是接入到信息网络,即外网。控制端系统与信息端系统的主机能够分别独立的运行专用的、高性能的工业通信软件,控制端系统提供了多种标准的SCADA通信标准客户端以及主端的通信功能,比如,OPC Client(支持OPC DA1.0~DA3.0和A E1.0)、IEC60870-5-104Master、Mo dbus Master和DNP3.0 Master等,目的是用来支持自定义的通信协议的自由扩展,从而实现对SCADA系统的接入,并与之进行通信的功能。信息端系统主机则提供给服务器强大的通信功能,比如,0PC Server、IEC60870-5-104 Slave、Mo dbus Slave和DNP3.0Slave等,目的是用来支持自定义的通信协议的自由扩展,从而实现对多种远程系统、数据库系统和数据中心系统的接入,并与之进行数据的交互功能。

    (2)pSafetyLink网关技术分析—网络隔离(PSL)

    pSafetyLink网关的控制端系统主机与信息端系统主机之有专用的PSL网络隔离传输(PSL)技术来进行功能的实施和连接。PSL技术采用的物理层是利用专用的隔离硬件连接构成的,而链路层和应用层则使用私有的通信协议和加密的传输方式进行连接通信,PSL技术借由实际的物理隔离状态和专有的隔离传输技术,在此基础上,对数据实现了完全的自我定义、自我审查和自我解析等功能,这种传输机制在理论上讲具有彻底的不可攻击性特点,进而从根本上就防止了不合法数据的入侵与通过,保证了控制端系统免遭攻击和侵入。

本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。

责任编辑:童话